Re: AC-X L2 i ruch z 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16

eGospodarka.pl › Grupy › pl.internet.polip › AC-X L2 i ruch z 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16 › Re: AC-X L2 i ruch z 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16

Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Sławek Lipowski <s...@l...org>
Newsgroups: pl.internet.polip
Subject: Re: AC-X L2 i ruch z 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16
Date: Tue, 02 Nov 2010 21:57:34 +0100
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 35
Message-ID: <iapu04$ooa$1@inews.gazeta.pl>
References: <iapqp2$cnd$1@inews.gazeta.pl>
<s...@m...verox.pl>
NNTP-Posting-Host: 85.89.186.111
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1288731460 25354 85.89.186.111 (2 Nov 2010 20:57:40 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Tue, 2 Nov 2010 20:57:40 +0000 (UTC)
X-User: s.lipowski
In-Reply-To: <s...@m...verox.pl>
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.12) Gecko/20100913
Icedove/3.0.7
Xref: news-archive.icm.edu.pl pl.internet.polip:93339
[ ukryj nagłówki ]
W dniu 02.11.2010 21:04, Verox pisze:
> On Tue, 02 Nov 2010 21:02:42 +0100, Sławek Lipowski napisał:
>> Witam,
>>
>> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
>> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
>> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>>
>> W kierunku naszych serwerów www, właśnie z AC-Xa, z różnych sieci
>> (potwierdzone przez NOC), wygląda na to, że także ze styku z PLIXem
>> (sądząc na podstawie MAC adresu), dociera sporo ruchu z takiej adresacji.
>>
>> Czy to jest norma?
>>
>> Pozdrawiam i z góry dzięki za poświęcony czas. :)
>
> Tnij na wejściu.
>

Jasne, tylko raz, że tego jest naprawdę sporo i generuje to jakieś tam
obciążenie firewalli, dwa, że chciałbym potwierdzić, że nie ma to
żadnego negatywnego wpływu na pozostały ruch.

Trochę sobie tego złapałem do analizy i z tego co na razie widzę,
zdarzają się pakiety z ustawionymi flagami RST i ACK (seq=2 ack=1), ale
generalnie są to pakiety z ustawionymi flagami FIN i ACK (seq=1 ack=1).
Wygląda to więc jak próba zamknięcia połączenia TCP. Jeśli z jakiegoś
powodu po stronie sieci użytkownika odwiedzającego nasze strony ruch ten
nie jest NATowany na prawidłowy IP i jest przez nas porzucany, to
połączenia TCP z naszymi serwerami www mogą nie być zamykane prawidłowo,
co może generować pewne problemy...

--
Sławomir Lipowski
http://lipowski.org